Ausgetrickster Cookie-Datenschutz: Microsoft schwärzt Google an

Von

Google trickst Datenschutzeinstellungen im Internet Explorer aus, wirft Microsoft dem Konkurrenten vor. Der Windows-Konzern verschweigt, dass die Probleme schon lange bekannt sind, ohne dass Microsoft aktiv wurde. Der Streit wirft ein schlechtes Licht auf die Selbstregulierung der IT-Giganten.

Google-Logo: Microsoft wirft dem Wettbewerber Datenschutz-Trickserei vor Zur Großansicht
AP

Google-Logo: Microsoft wirft dem Wettbewerber Datenschutz-Trickserei vor

Es klingt sehr einfach, wie Microsoft-Manager Dean Hachamovitch den Sachverhalt beschreibt: Google ist böse, denn Google trickst Datenschutzeinstellungen im Microsoft-Browser Internet Explorer aus. In einem langen Artikel erklärt Hachamovitch, wie Google auf Rechnern von Internet-Explorer-Nutzern bestimmte Cookies (kleine Textdateien zur Authentifizierung) ablegt, obgleich die Voreinstellung des Browsers ein solches Vorgehen eigentlich verbietet.

Diese Darstellung ist nicht ganz falsch, aber sehr grob vereinfacht. Es lohnt sich, die Hintergründe der Microsoft-Kritik an Google genauer zu betrachten. Denn dieser Fall zeigt, wie IT-Giganten das Thema Datenschutz instrumentalisieren, um Wettbewerbern zu schaden.

Datenschutzprotokoll von 2002

Ausgangspunkt des Streits ist ein wenig bekanntes Datenschutzprotokoll namens P3P (Platform for Privacy Preferences Project). Es war ein Versuch der Datenschutzselbstregulierung, das Standardisierungsgremium W3C (World Wide Web Consortium) hat P3P vor knapp zehn Jahren offiziell verabschiedet. Mit P3P können Betreiber von Websites ihre Datenschutzrichtlinien in eine maschinenlesbare Form bringen.

In standardisierten P3P-Kürzeln hält ein Betreiber fest, welche Informationen über Nutzer sein Angebot auswertet - so entsteht eine Kurzversion der Datenschutzrichtlinie. Die Kürzel CP="CAO PSA OUR" besagen zum Beispiel, dass die Website Kontaktinformationen (CAO) nutzt, um ein pseudonymes Nutzerprofil (PSA) zu erstellen, auf das nur die Seitenbetreiber Zugriff haben (OUR).

Diese P3P-Kürzel können entsprechend erweiterte Programme interpretieren, Microsoft Internet Explorer entscheidet zum Beispiel auf Basis der P3P-Kürzel, ob Websites bestimmte Cookies auf den Nutzerrechnern ablegen dürfen. Generell verfährt der Internet Explorer so: Wenn eine Website keine P3P-Klassifizierung enthält, lehnt der Microsoft-Browser dort Cookies von Drittanbietern ab.

Internet Explorer akzeptiert Pseudo-Klassifizierung

Dieses Verhalten ist für einige Web-Dienste problematisch - Google zum Beispiel setzt beim Aufruf der eigenen Seiten manchmal Cookies, die von anderen Domains stammen. Und Google verzichtet in diesen Fällen darauf, die Datenschutzbestimmungen in P3P-Kürzeln zu erklären. Damit der Internet Explorer die Cookies dennoch akzeptiert, nutzt Google einen weit verbreiteten Trick: Es wird einfach eine Pseudo-Klassifizierung ausgeliefert. In der steht lediglich: "CP=This is not a P3P policy!" Außerdem enthält der Hinweis einen Link, der zu weiteren Informationen führen soll.

Der Internet Explorer akzeptiert diese Pseudo-Klassifizierung und speichert den Google-Cookie, obwohl keine Angaben zur Datenauswertung vorliegen.

Google nennt P3P-Standard "nicht praxistauglich"

Google rechtfertigt dieses Verhalten so: Das P3P-Protokoll sei nicht dafür konzipiert worden, Datenschutzmaßnahmen in Drittanbieter-Cookies anzugeben. Deshalb nutze man die Link-Lösung, um Nutzer zu informieren. Eine Google-Sprecherin kritisiert Microsoft: "Es ist allgemein bekannt, dass es nicht paxistauglich ist, Microsofts Forderungen zu entsprechen und zugleich moderne Web-Funktionalitäten anzubieten." Google habe das eigene Vorgehen öffentlich beschrieben, andere Firmen würden ähnlich handeln.

Facebook hat eine ähnliche Haltung zum P3P-Protokoll. Der Informatikerin Lorrie Cranor zufolge nutzt Facebook wie Google eine Pseudo-Klassifizierung, die auf eine Web-Seite verweist. Dort ist nachzulesen, dass Facebook über die Erfassung und Auswertung von Informationen in seinen Datenschutzrichtlinien informiert.

Microsoft ignoriert das P3P-Problem seit 2010

Es stimmt schon: Google und Facebook bringen mit ihren Pseudo-Klassifizierungen den Internet Explorer dazu, Cookies zu akzeptieren, die er eigentlich nicht akzeptieren sollte. Doch Microsoft unterschlägt bei der Darstellung der Angelegenheit einige Details.

Dass der Internet Explorer Pseudo-Klassifizierungen akzeptiert und viele Web-Dienste diesen Trick nutzen, ist spätestens seit 2010 bekannt. Damals veröffentlichten Informatiker von der Carnegie Mellon University eine umfassende Studie. Ein Ergebnis: Ein Drittel der 33.000 untersuchten Klassifizierungen war fehlerhaft. Die Autoren kritisieren, dass der Internet Explorer die P3P-Klassifizierungen nicht auf Fehler überprüft. Und sie stellen fest, dass Microsoft auf Supportseiten sogar dazu riet, ungültige Klassifizierungen einzusetzen, um Probleme mit dem Internet Explorer zu umgehen.

Der Informatiker Christopher Soghoian - ein früherer Mitarbeiter der US-Handelsaufsicht FTC kritisiert Microsoft heute: "Anstatt diese Lücke zu schließen, hat Microsoft nichts getan. Nun beschweren sie sich über Google."

Warum wird Microsoft erst jetzt aktiv? Eine mögliche Erklärung: Wie schon Facebook bei seiner unrühmlichen Anti-Google-Kampagne instrumentalisiert Microsoft nun Datenschutz im Lobby-Krieg gegen Google, weil die Cookie-Problematik gerade wieder Thema war. Mitte Februar warf ein Informatiker Google vor, den Cookie-Schutz von Safari-Browsern ausgehebelt zu haben, um Nutzern bestimmte Werbeformate zu präsentieren. Auf diesen Vorfall bezieht sich Microsoft-Manager Hachamovitch ausdrücklich nach dem Motto: Google trickst Microsoft genauso aus wie Apple. Microsofts Beitrag zu diesem Problem verschweigt der Manager.

P3P ist ein Beispiel gescheiterter Selbstregulierung

Allerdings ändert dieses Verhalten Microsofts nichts an dieser Tatsache: P3P war ein Versuch der Internetbranche, Datenschutz selbst zu regulieren. Er ist gescheitert, inzwischen verstoßen Online-Konzerne gegen die vom WWW-Konsortium vor Jahren festgelegten Standards, weil die angeblich nicht mit heutigen Angeboten zu vereinbaren sind.

Die Informatikerin Lorrie Cranor stellt angesichts dieser Entwicklung die Fähigkeit der Branche zur Datenschutzselbstregulierung in Frage: "Sobald ein Standard aus dem öffentlichen Bewusstsein verschwindet und Firmen damit leben müssen, was sie vereinbart haben und merken, dass es sie behindert, erklären sie die Regelung für tot und fühlen sich im Recht, sie zu umgehen."

Der Autor auf Facebook

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 17 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Spiegel-Online veschweigt ...
Frank Mondorf 21.02.2012
Zitat von sysopDer Windows-Konzern verschweigt, dass die Probleme schon lange bekannt sind, ohne dass Microsoft aktiv wurde. Der Streit wirft ein schlechtes Licht auf die Selbstregulierung der IT-Giganten. Ausgetrickster Cookie-Datenschutz: Microsoft schwärzt Google an - SPIEGEL ONLINE - Nachrichten - Netzwelt (http://www.spiegel.de/netzwelt/netzpolitik/0,1518,816659,00.html)
.. das MS mit dem Tracking-Schutz schon lange , auch auf meinem Laptop mit IE9/Vista, aktiv ist. Dabei werden bekannte Tracking-Skripts, also auch die "Umgeher", der aufgerufenen Internetseiten aus der Seite komplett herausgefiltert. Besonders gut funktioniert das hier bei Spiegel-Online, wo einem dank Microsoft Trackingsschutz scheinbar die gesamte Werbung, zumindest auserhalb der Artikel, erspart bleibt. Die aktuelle IT überfordert nicht nur die Politik, leider auch die hiesiege Presse, die sich anscheinend zunehmend aufs bequeme sich gegenseitige Kopieren versteift. Grüsse aus Neunkirchen-Seelscheid
2. Hey Microsoft, hey Apple
cs2001 21.02.2012
Zitat von sysopGoogle trickst Datenschutz-Einstellungen im Internet Explorer aus, wirft Microsoft dem Konkurrenten vor. Der Windows-Konzern verschweigt, dass die Probleme schon lange bekannt sind, ohne dass Microsoft aktiv wurde. Der Streit wirft ein schlechtes Licht auf die Selbstregulierung der IT-Giganten. Ausgetrickster Cookie-Datenschutz: Microsoft schwärzt Google an - SPIEGEL ONLINE - Nachrichten - Netzwelt (http://www.spiegel.de/netzwelt/netzpolitik/0,1518,816659,00.html)
wie kann es sein, dass eure Privacy Einstellung nicht halten, was ihr mir versprecht?
3. Woher soll SPON
cs2001 21.02.2012
[QUOTE=Frank Mondorf;9685191].. das MS mit dem Tracking-Schutz schon lange , auch auf meinem Laptop mit IE9/Vista, aktiv ist. [/SPON] denn Wissen, was auch ihrem Laptop aktiv ist? Und was fuer ein "Tracking-Schutz"? Welche Tracking-Scripts? Koennten Sie das noch etwas ausfuehren?
4.
redhead72 21.02.2012
Zitat von sysopwie kann es sein, dass eure Privacy Einstellung nicht halten, was ihr mir versprecht?
MS mit seinem Browser IE ist für mich schon längst ein No-Go. Ich verwende meistens Firefox wegen der benutzerfreundlicheren Datenschutz- und Sicherheitseinstellungen. So kann man z.B. auf simple Art und Weise festlegen, von welchen Webseiten man Cookies zulässt oder nicht. Aber nicht nur das: Firefox bietet darüber hinaus auch Add-ons an, die die Löschung von sogenannten "Super-Cookies" ermöglichen. Normalerweise sind diese LSO- oder DOM Storage-Cookies nämlich ziemlich tückisch und lassen sich nur schwer entfernen. Und mit diesen Cookies kann man das Nutzer-Verhalten sehr genau verfolgen. Mein Add-on zeigt aber natürlich auch an, von welchen Sites die gefundenen Super-Cookies stammen. Man kann sich dann dazu seine eigenen Gedanken machen oder alternativ die Seite blocken... ;-)
5.
mr.ious 21.02.2012
Zitat von sysopGoogle trickst Datenschutz-Einstellungen im Internet Explorer aus, wirft Microsoft dem Konkurrenten vor. Der Windows-Konzern verschweigt, dass die Probleme schon lange bekannt sind, ohne dass Microsoft aktiv wurde. Der Streit wirft ein schlechtes Licht auf die Selbstregulierung der IT-Giganten. Ausgetrickster Cookie-Datenschutz: Microsoft schwärzt Google an - SPIEGEL ONLINE - Nachrichten - Netzwelt (http://www.spiegel.de/netzwelt/netzpolitik/0,1518,816659,00.html)
Einen gewissen Hang zur Logik hat das ja. Ich verstehe zwar nicht was sich Leute denken, die 11 000 fehlerhafte Klassifizierungen nicht kritisieren, aber dafür eine "Maschine" die nicht deren Arbeit von sich aus schon getan hat. Das kommt mir so plausibel vor, wie einem Lehrer der Schülern beibringt lesen zu können, später die Schuld zu geben, wenn ein Jungendlicher unglücklich wird, weil sie oder er feststellt, daß der erhaltenen Liebesbrief eine Verarschung von lustig aufgelegten Mitschülern war. Hier im Forum war auch schon zu lesen wie man die Briefpost austricksen kann, ohne das die was dagegen unternehmen könnte. Das will ich jetzt nicht wiedergeben, aber was anderes, wie sollte die Post wissen, wer was in welchen Brief schreibt, wenn die noch nicht mal weiß, daß sie beauftragt werden soll den dann später zuzustellen ? Woher soll den Microsofts IE also eine Datenbank aufrufen können, wenn noch gar niemand weiß welche fehlerhafte Klassifizierungen es gibt. Und, sogar die Post sammelt erst mal alle Briefe ein, um anschließend die auszusortieren, die eine falsche oder ungültige Adressangabe tragen. Die Post weiß aber vorher auch nicht welche und wieviele falsche Adressangaben alle machen können.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Datenschutz
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 17 Kommentare
  • Zur Startseite

E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.